Cos'è la crittografia end-to-end e come funziona?

seguito Kryptus su Google News 

Di Moisés Matias, responsabile dell'architettura della sicurezza informatica presso Kryptus 

Cos'è la crittografia end-to-end e come funziona?

La criptaLa crittografia end-to-end è un metodo di protezione dei dati che crittografa le informazioni sul dispositivo del mittente e le decrittografa solo sul dispositivo del destinatario. Ciò significa che, mentre il messaggio viaggia attraverso server e reti, rimane indecifrabile e inaccessibile a chiunque altro, finché non raggiunge il destinatario. È come inviare un messaggio in una cassaforte virtuale la cui chiave può essere aperta solo dal destinatario.

Come fa Crittografia P2P

La crittografia end-to-end consente alle aziende di creare collegamenti di comunicazione sicuri tra dispositivi o componenti all'interno di tali dispositivi, impedendo ai dispositivi intermedi di esporre informazioni sensibili che potrebbero essere compromesse.sono in transito sulla rete. Il P2P è comunemente utilizzato come soluzione per la conformità allo standard PCI DSS (Payment Card Industry Data Security Standard), ma può essere utilizzato anche per altri dati sensibili.

Prendiamo ad esempio una catena di abbigliamento con molti negozi al dettaglio sparsi in tutto il Paese, che gestisce tutte le transazioni finanziarie da un centro dati centralizzato. Sarebbe difficile per il rivenditore garantire la sicurezza fisica delle reti locali di ciascun punto vendita, dato il numero di queste reti e la natura pubblica dei punti vendita al dettaglio. Inoltre, è improbabile che personale di sicurezza addestrato sia presente in ogni punto vendita per monitorare la rete.

Il vantaggio principale della crittografia end-to-end è la sua capacità di ridurre la portata degli sforzi di sicurezza.

Implementando la crittografia P2P, il rivenditore può limitare la portata dell'esposizione dei numeri delle carte di credito nell'ambiente di merchandising. Ad esempio, implementando un sistema POS (Point of Sale) che utilizza scanner per carte crittografate ed è supportato da un sistema back-end nella sede centrale che supporta la crittografia end-to-end, l'intera rete di negozi viene esclusa dal ciclo.

Poiché il lettore di carte hardware crittografa i dati prima che raggiungano il terminale POS, non esiste alcun dispositivo nella rete del negozio in grado di decrittografare il numero della carta. In questo modo i numeri delle carte vengono protetti da vari attacchi, tra cui l'intercettazione non autorizzata dei dispositivi e le infezioni da malware al terminale POS. Dispositivi come questi non hanno accesso alla chiave di crittografia e quindi non possono accedere al numero della carta.

Perché utilizzare la crittografia P2P?

Il vantaggio principale della crittografia end-to-end è la sua capacità di ridurre la portata degli sforzi di sicurezza. Nello scenario di vendita al dettaglio descritto sopra, se il commerciante è in grado di garantire l'integrità dei lettori di carte hardware, sarà necessario applicare i controlli di sicurezza più rigorosi solo ai sistemi back-end centralizzati vulnerabili alla decrittazione. In ambienti altamente regolamentati, questa strategia può ridurre drasticamente il numero di sistemi e reti che devono soddisfare requisiti di conformità e monitoraggio spesso costosi; sia in termini di tempo che di valori per il cliente.

Limitazioni della crittografia P2P

Sebbene la crittografia end-to-end sia un'opzione tecnologica di sicurezza promettente, non è ancora ampiamente diffusa, principalmente a causa del numero limitato di prodotti maturi presenti sul mercato.

Diverse organizzazioni hanno voluto implementarlo subito dopo la Consiglio sugli standard di sicurezza PCI adottare un processo di convalida semplificato per tali prodotti, ma molti non sono riusciti a trovare prodotti che soddisfacessero le specifiche e gli standard stabiliti da PCI. 

Ci sono casi in cui i fornitori segnalano che avevano appena iniziato a testare le offerte sul campo e che non esisteva alcuna soluzione commercialmente valida che potesse soddisfarli. Oggi in Brasile, con la maggiore maturità del mercato, sempre più aziende cercano di adottare questa soluzione. Questo scenario può essere osservato anche in tutto il mondo.

Questo ritardo nella conformità porta alla seconda grande limitazione della crittografia P2P; spesso richiede un investimento economico notevole per iniziare ad operare, a causa di fornitori non originari del paese o a prezzi considerati poco convenienti. Ciò include gli aggiornamenti hardware e software dei POS e i potenziali aumenti delle tariffe da parte dei fornitori desiderosi di sfruttare la domanda improvvisa delle aziende che cercano di limitare i propri obblighi di conformità.

Come proteggere le chiavi crittografico

Affinché la crittografia P2P funzioni nel modo più sicuro possibile, è necessario che siano sempre in atto controlli rigorosi per la protezione e l'accesso alle chiavi di decrittazione. Le attuali linee guida richiedono l'uso di moduli di sicurezza hardware (HSM) con un'adeguata classificazione di sicurezza per proteggere l'accesso a queste chiavi.

Oggi, gli acquirenti e gli altri partecipanti alla catena commerciale dei pagamenti stanno già commercializzando servizi a valore aggiunto che sfruttano il P2PE per ridurre i costi di conformità per i loro clienti finali. Dal punto di vista dello standard PCI DSS, rientra immediatamente nell'ambito di applicazione qualsiasi sistema in grado di decifrare i dati degli account; pertanto, la possibilità di isolare i commercianti proteggendo le chiavi negli HSM comporta notevoli vantaggi lungo tutta la supply chain.